Wireshark'ta Paketler Nasıl Okunur

Birçok BT uzmanı için Wireshark, ağ paket analizi için başvurulacak araçtır. Açık kaynaklı yazılım, toplanan verileri yakından incelemenize ve iyileştirilmiş doğrulukla sorunun kökünü belirlemenize olanak tanır. Ayrıca, Wireshark gerçek zamanlı olarak çalışır ve yakalanan paketleri görüntülemek için diğer şık mekanizmaların yanı sıra renk kodlaması kullanır.

Wireshark'ta Paketler Nasıl Okunur

Bu eğitimde, Wireshark kullanarak paketleri nasıl yakalayacağınızı, okuyacağınızı ve filtreleyeceğinizi açıklayacağız. Aşağıda, temel ağ analizi işlevlerinin adım adım talimatlarını ve dökümlerini bulacaksınız. Bu temel adımları öğrendikten sonra, ağınızın trafik akışını inceleyebilir ve sorunları daha verimli bir şekilde giderebilirsiniz.

Paketleri Analiz Etme

Paketler yakalandıktan sonra, Wireshark bunları okunması inanılmaz derecede kolay olan ayrıntılı bir paket listesi bölmesinde düzenler. Tek bir paket ile ilgili bilgilere ulaşmak istiyorsanız, listeden paketi bulup tıklamanız yeterli. Paketin içerdiği her protokolün ayrıntılarına erişmek için ağacı daha da genişletebilirsiniz.

Daha kapsamlı bir genel bakış için, yakalanan her paketi ayrı bir pencerede görüntüleyebilirsiniz. İşte nasıl:

  1. İmlecinizle listeden paketi seçin, ardından sağ tıklayın.

  2. Yukarıdaki araç çubuğundan "Görünüm" sekmesini açın.

  3. Açılır menüden “Paketi Yeni Pencerede Göster” seçeneğini seçin.

Not: Ayrı pencerelerde açarsanız, yakalanan paketleri karşılaştırmak çok daha kolaydır.

Belirtildiği gibi, Wireshark veri görselleştirme için bir renk kodlama sistemi kullanır. Her paket, farklı trafik türlerini temsil eden farklı bir renkle işaretlenmiştir. Örneğin, TCP trafiği genellikle mavi ile vurgulanırken siyah, hata içeren paketleri belirtmek için kullanılır.

Tabii ki, her rengin arkasındaki anlamı ezberlemek zorunda değilsiniz. Bunun yerine, yerinde kontrol edebilirsiniz:

  1. İncelemek istediğiniz pakete sağ tıklayın.

  2. Ekranın üst kısmındaki araç çubuğundan "Görünüm" sekmesini seçin.

  3. Açılır panelden “Renklendirme Kuralları”nı seçin.

Renklendirmeyi beğeninize göre özelleştirme seçeneğini göreceksiniz. Ancak, renklendirme kurallarını yalnızca geçici olarak değiştirmek istiyorsanız şu adımları izleyin:

  1. Paket listesi bölmesinde pakete sağ tıklayın.
  2. Seçenekler listesinden "Filtreyle Renklendir"i seçin.

  3. Etiketlemek istediğiniz rengi seçin.

Sayı

Paket listesi bölmesi, yakalanan veri bitlerinin tam sayısını size gösterecektir. Paketler birkaç sütun halinde düzenlendiğinden yorumlanması oldukça kolaydır. Varsayılan kategoriler şunlardır:

  • Hayır (Sayı): Belirtildiği gibi, yakalanan paketlerin tam sayısını bu sütunda bulabilirsiniz. Veriler filtrelendikten sonra bile rakamlar aynı kalacaktır.
  • Zaman: Tahmin edebileceğiniz gibi, paketin zaman damgası burada görüntülenir.
  • Kaynak: Paketin nereden geldiğini gösterir.
  • Hedef: Paketin tutulacağı yeri gösterir.
  • Protokol: Protokolün adını, tipik olarak bir kısaltmada görüntüler.
  • Uzunluk: Yakalanan paketin içerdiği bayt sayısını gösterir.
  • Bilgi: Sütun, belirli bir paketle ilgili ek bilgileri içerir.

Zaman

Wireshark ağ trafiğini analiz ederken, yakalanan her pakete zaman damgası eklenir. Zaman damgaları daha sonra paket listesi bölmesine dahil edilir ve daha sonra incelenmek üzere kullanılabilir.

Wireshark, zaman damgalarını kendileri oluşturmaz. Bunun yerine, analiz aracı bunları Npcap kitaplığından alır. Ancak, zaman damgasının kaynağı aslında çekirdektir. Bu nedenle zaman damgasının doğruluğu dosyadan dosyaya değişebilir.

Paket listesinde zaman damgalarının görüntüleneceği formatı seçebilirsiniz. Ayrıca, görüntülenen tercih edilen kesinliği veya ondalık basamak sayısını ayarlayabilirsiniz. Varsayılan hassasiyet ayarının yanı sıra şunlar da vardır:

  • saniye
  • saniyenin onda biri
  • saniyenin yüzde biri
  • Milisaniye
  • mikrosaniye
  • nanosaniye

Kaynak

Adından da anlaşılacağı gibi, paketin kaynağı menşe yeridir. Bir Wireshark deposunun kaynak kodunu almak istiyorsanız, bir Git istemcisi kullanarak indirebilirsiniz. Ancak yöntem, bir GitLab hesabınızın olmasını gerektirir. Biri olmadan yapmak mümkündür, ancak her ihtimale karşı kaydolmak daha iyidir.

Bir hesap kaydettikten sonra şu adımları izleyin:

  1. Git'in şu komutu kullanarak işlevsel olduğundan emin olun: "$ git --sürüm.

  2. E-posta adresinizin ve kullanıcı adınızın yapılandırılıp yapılandırılmadığını iki kez kontrol edin.
  3. Ardından, Workshark kaynağının bir klonunu yapın. Kullan "$ git klonu -o yukarı akış [e-posta korumalı] :wireshark/wireshark.git” Kopyayı yapmak için SSH URL'si.
  4. GitLab hesabınız yoksa HTTPS URL'sini deneyin: "$ git klonu -o yukarı akış //gitlab.com/wireshark/wireshark.git.

Tüm kaynaklar daha sonra cihazınıza kopyalanacaktır. Özellikle yavaş bir ağ bağlantınız varsa, klonlamanın biraz zaman alabileceğini unutmayın.

Hedef

Belirli bir paketin hedefinin IP adresini bilmek istiyorsanız, onu bulmak için görüntü filtresini kullanabilirsiniz. İşte nasıl:

  1. Girmek "ip.addr == 8.8.8.8”, Wireshark “Filtre Kutusu”na. Ardından, "Giriş" i tıklayın.

  2. Paket listesi bölmesi yalnızca paket hedefini gösterecek şekilde yeniden yapılandırılacaktır. Listede gezinerek ilgilendiğiniz IP adresini bulun.

  3. İşiniz bittiğinde, paket listesi bölmesini yeniden yapılandırmak için araç çubuğundan "Temizle"yi seçin.

Protokol

Protokol, aynı ağa bağlı farklı cihazlar arasındaki veri iletimini belirleyen bir kılavuzdur. Her Wireshark paketi bir protokol içerir ve bunu görüntü filtresini kullanarak getirebilirsiniz. İşte nasıl:

  1. Wireshark penceresinin üst kısmındaki “Filtre” iletişim kutusuna tıklayın.
  2. İncelemek istediğiniz protokolün adını girin. Tipik olarak, protokol başlıkları küçük harflerle yazılır.
  3. Görüntü filtresini etkinleştirmek için “Gir” veya “Uygula”ya tıklayın.

Uzunluk

Bir Wireshark paketinin uzunluğu, söz konusu ağ parçacığında yakalanan bayt sayısıyla belirlenir. Bu sayı genellikle Wireshark penceresinin altında listelenen ham veri baytlarının sayısına karşılık gelir.

Uzunlukların dağılımını incelemek istiyorsanız “Paket Uzunlukları” penceresini açın. Tüm bilgiler aşağıdaki sütunlara ayrılmıştır:

  • Paket uzunlukları
  • Saymak
  • Ortalama
  • Min Val/Maks Val
  • Oran
  • Yüzde
  • patlama hızı
  • hızlı başlangıç

Bilgi

Yakalanan belirli bir pakette herhangi bir anormallik veya benzer öğe varsa, Wireshark bunu not edecektir. Bilgiler daha sonra daha fazla inceleme için paket listesi bölmesinde görüntülenecektir. Bu şekilde, atipik ağ davranışının net bir resmine sahip olursunuz ve bu da daha hızlı tepkilere neden olur.

Ek SSS

Paket verilerini nasıl filtreleyebilirim?

Filtreleme, belirli bir veri dizisinin özelliklerine bakmanıza izin veren etkili bir özelliktir. İki tür Wireshark filtresi vardır: yakalama ve görüntüleme. Yakalama filtreleri, paket yakalamayı belirli taleplere uyacak şekilde kısıtlamak için vardır. Başka bir deyişle, bir yakalama filtresi uygulayarak farklı trafik türlerini eleyebilirsiniz. Adından da anlaşılacağı gibi, görüntü filtreleri, paket uzunluğundan protokole kadar paketin belirli bir öğesini bilemenize izin verir.

Filtre uygulamak oldukça basit bir işlemdir. Filtre başlığını Wireshark penceresinin üst kısmındaki iletişim kutusuna yazabilirsiniz. Ayrıca, yazılım genellikle filtrenin adını otomatik olarak tamamlar.

Alternatif olarak, varsayılan Wireshark filtrelerini taramak istiyorsanız aşağıdakileri yapın:

1. Wireshark penceresinin üst kısmındaki araç çubuğunda “Analiz Et” sekmesini açın.

2. Açılır listeden “Görüntü Filtresi”ni seçin.

3. Listeye göz atın ve uygulamak istediğiniz listeye tıklayın.

Son olarak, kullanışlı olabilecek bazı yaygın Wireshark filtreleri şunlardır:

• Yalnızca kaynak ve hedef IP adresini görüntülemek için şunu kullanın: “ip.src==IP adresi ve ip.dst==IP adresi

• Yalnızca SMTP trafiğini görüntülemek için şunu yazın: “tcp.port eşdeğeri 25

• Tüm alt ağ trafiğini yakalamak için şunları uygulayın: “net 192.168.0.0/24

• ARP ve DNS trafiği dışındaki her şeyi yakalamak için şunu kullanın: “53 numaralı bağlantı noktası ve arp değil

Paket verilerini Wireshark'ta nasıl yakalarım?

Wireshark'ı cihazınıza indirdikten sonra ağ bağlantınızı izlemeye başlayabilirsiniz. Kapsamlı bir analiz için veri paketlerini yakalamak için yapmanız gerekenler:

1. Wireshark'ı başlatın. Kullanılabilir ağların bir listesini göreceksiniz, bu nedenle incelemek istediğinize tıklayın. Trafiğin türünü tam olarak belirlemek istiyorsanız bir yakalama filtresi de uygulayabilirsiniz.

2. Birden fazla ağı incelemek istiyorsanız, “shift + sol tıklama” kontrolünü kullanın.

3. Ardından, yukarıdaki araç çubuğunda en soldaki köpekbalığı yüzgeci simgesine tıklayın.

4. "Yakala" sekmesine tıklayarak ve açılır listeden "Başlat"ı seçerek de yakalamayı başlatabilirsiniz.

5. Bunu yapmanın bir başka yolu da “Kontrol – E” tuş vuruşunu kullanmaktır.

Yazılım verileri alırken, gerçek zamanlı olarak paket listesi bölmesinde göründüğünü göreceksiniz.

köpekbalığı baytı

Wireshark son derece gelişmiş bir ağ analizcisi olsa da, yorumlanması şaşırtıcı derecede kolaydır. Paket listesi bölmesi son derece kapsamlı ve iyi organize edilmiştir. Tüm bilgiler yedi farklı renge dağıtılır ve net renk kodları ile işaretlenir.

Ayrıca, açık kaynaklı yazılım, izlemeyi kolaylaştıran bir dizi kolay uygulanabilir filtre ile birlikte gelir. Bir yakalama filtresini etkinleştirerek Wireshark'ın ne tür trafiği analiz etmesini istediğinizi tam olarak belirleyebilirsiniz. Veriler alındıktan sonra, belirli aramalar için birkaç görüntü filtresi uygulayabilirsiniz. Sonuç olarak, ustalaşması çok zor olmayan oldukça verimli bir mekanizmadır.

Ağ analizi için Wireshark kullanıyor musunuz? Filtreleme işlevi hakkında ne düşünüyorsunuz? Atladığımız faydalı bir paket analizi özelliği varsa aşağıdaki yorumlarda bize bildirin.

yakın zamanda Gönderilenler

$config[zx-auto] not found$config[zx-overlay] not found